FormbookとSnake Keyloggerインフォメーションスティーラー、RelicRaceとRelicSourceマルウェアを使用してメールで大量配信

[post-views]
7月 26, 2022 · 7 分で読めます
FormbookとSnake Keyloggerインフォメーションスティーラー、RelicRaceとRelicSourceマルウェアを使用してメールで大量配信

ウクライナの組織を標的としたフィッシングメール攻撃を手段とする情報盗難攻撃が現在増加しています。例えば、1週間前未満の悪意のあるキャンペーンは AgentTesla スパイウェア を拡散し、ウクライナの国家機関を狙っています。2022年7月25日、CERT-UA は 新たな通知 をリリースし、グローバルなサイバー防衛コミュニティに、機密データを盗むために使用される Formbook と Snake Keylogger のマルウェアペイロードを大量に配布するメールキャンペーンが進行中であると警告しました。この最新のサイバー攻撃では、攻撃者は財務に関連するメールの件名と同名の悪意のあるアーカイブ添付ファイルを使用して、潜在的な被害者をメール内容を開くように誘導します。攻撃者は、RelicRace と RelicSource として識別されている悪意のある .NET ベースのダウンローダーを使用して、マルウェアサンプルを配信します。研究によれば、この悪意のある活動は UAC-0041 ハッキング集団の行動パターンに帰することができます。

Formbook & Snake Keylogger 配信: サイバー攻撃の分析

最新のサイバー攻撃は CERT-UA#5056 アラート にて取り上げられており、2022年春に配信されたマルウェアキャンペーンに以前帰されていた UAC-0041 脅威アクターの活動に関連しています。 IcedID トロイの木馬、悪名高い情報盗難マルウェアです。特筆すべきは、同じハッキンググループが以前のウクライナの組織を標的とした悪意のあるキャンペーンで AgentTesla および XLoader マルウェアサンプルの配信にも関連していたことです。

2022年7月19日以降に注目を浴びている現在進行中のフィッシングキャンペーンにおいて、脅威アクターは TGZ 圧縮アーカイブファイル形式で悪意のある添付ファイルを大量に配布しています。この TGZ アーカイブには .NET ベースのダウンローダー RelicRace として識別される実行ファイルが含まれており、これは侵害されたシステム上で悪名高い RelicSource マルウェアをダウンロードして起動するために使用されます。後者は、XOR、DES、AES などの複数の暗号化フォーマットで保存されたデータをデコードし、さらに Formbook と Snake Keylogger のペイロードを注入および起動できるマルウェアインストールソフトウェアです。このマルウェアは高度な持続性および解析回避技術を採用して検出を回避し、サイバーディフェンダーが感染を迅速に特定するのを困難にしています。

According to Fortinet の FortiGuard Labsによると、現在進行中のウクライナに対するサイバー攻撃で大量に配布されている悪名高い Snake Keylogger は、サイバー脅威アリーナで2020年末に初めて発見された .NET ベースのマルウェアです。このマルウェアは、ユーザーの資格情報、キーストローク、スクリーンショット、クリップボードデータなどの機密データを盗むために設計されています。2021年7月、Snake Keylogger は、世界中のより多くの被害者に影響を及ぼすすぎのばを占めるトップ10のマルウェアファミリーの一つに含まれていました。

CERT-UA の研究で取り上げられたこの最新のサイバー攻撃で拡散されたもう一つのペイロードである Formbook も、最も普及している情報盗難マルウェアサンプルに属し、悪名高い Trickbot バンキングトロイの木馬をも上回るものです。 Formbook は、2016年以降、複数のウェブブラウザから資格情報を窃取し、キーストロークを監視および記録し、C&C サーバーを介してファイルをダウンロードして実行することを目的としたマルウェアとしてサイバー脅威の景観に存在しています。

UAC-0041 活動の検出: 最新の Formbook と Snake Keylogger の感染波を見つける Sigma ルール

ウクライナに対する最新の UAC-0041 攻撃に関連する侵入を積極的に検出するために、SOC Prime の Detection as Code プラットフォームは、キュレートされた Sigma ルールのセットを提供します。コンテンツの検索をスムーズにするために、すべての検出コンテンツは、CERT-UA#5056 アラートのキャンペーン概要に基づいて「CERT-UA#5056」とタグ付けされています。

CERT-UA#5056 の Formbook および Snake Keylogger キャンペーンの詳細を検出するための Sigma ルール

UAC-0041 の悪意ある活動をカバーする検出ルールとハンティングクエリの全リストを確認するには、下の 検出&ハント ボタンを押してください。また、SOC Prime のサイバー脅威検索エンジンをブラウズして、UAC-0041 検出を目的とした Sigma ルールを詳しく調べ、MITRE ATT&CK® や CTI リファレンス、CVE 説明などの関連するコンテキストメタデータにアクセスできます。

検出&ハント 脅威コンテキストを探る

MITRE ATT&CK® コンテキスト

Formbook および Snake Keylogger の配布を目的とした UAC-0041 サイバー攻撃のコンテキストへの洞察を得るために、前述の Sigma ルールは MITRE ATT&CK® フレームワーク に沿っており、対応する戦術と技術に対応しています。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース